FortiBleed: Globale Kampagne knackt Admin-Passwörter von Fortinet-Firewalls

Ein Albtraum für IT-Sicherheitsverantwortliche: Eine weltweite Angriffswelle gefährdet derzeit die Integrität von Fortinet-Systemen. Unter dem Namen FortiBleed läuft eine groß angelegte Kampagne, bei der Angreifer systematisch Konfigurationsdaten aus dem Internet zugänglicher FortiGate-Firewalls und VPN-Gateways auslesen und die darin enthaltenen Passwort-Hashes knacken. Das Ergebnis ist alarmierend: Sicherheitsforschende schätzen, dass bereits zwischen 30.000 und 75.000 Geräte in 194 Ländern aktiv kompromittiert wurden.

Betroffene Organisationen müssen jetzt schnell handeln, da den Angreifern verifizierte, funktionierende Administrator-Zugangsdaten vorliegen.

Das Szenario: Wie die Angreifer vorgehen

Die Kampagne wurde Mitte Juni 2026 von Sicherheitsforschern aufgedeckt. IT-Sicherheitsdienste wie SOCRadar stießen dabei auf die operative Infrastruktur der Angreifer. Diese führen strukturierte Datenbanken mit bereits validierten Logins, sortiert nach Ländern, Branchen und sogar dem geschätzten Unternehmensumsatz.

Analysen von Forschenden wie Kevin Beaumont und Hudson Rock zeigen das massive Ausmaß der Kampagne: Mit bis zu 75.000 betroffenen Systemen könnte etwa die Hälfte aller weltweit direkt über das Internet erreichbaren Fortinet-Firewalls kompromittiert sein.

Die technische Ursache: Das Altlasten-Problem beim Passwort-Hashing

Die Effizienz der Angriffe hängt eng mit der Art und Weise zusammen, wie FortiOS-Betriebssysteme Passwörter speichern:

• Die Schwachstelle: Ältere FortiOS-Versionen sicherten Administrator-Passwörter standardmäßig als schwächere SHA-256-Hashes (mit Salt). Diese lassen sich mittels moderner Hardware relativ leicht per Brute-Force entschlüsseln, sobald Angreifer an das Backup oder die Konfigurationsdatei gelangen.
• Das Upgrade-Problem: Fortinet hat zwar in neueren Versionen (FortiOS 7.2.11, 7.4.8 und 7.6.1) die deutlich sicherere PBKDF2-Verschlüsselung eingeführt. Werden ältere Systeme jedoch aktualisiert, verbleiben bereits existierende Administrator-Passwörter so lange im unsicheren SHA-256-Format, bis sich der jeweilige Administrator nach dem Upgrade das erste Mal erfolgreich neu anmeldet .
• Das versteckte Risiko („old-password“): Selbst wenn Passwörter auf PBKDF2 umgestellt werden, speichert FortiOS den alten SHA-256-Hash aus Kompatibilitätsgründen im versteckten Parameter old-password. Dieser Wert ist im normalen Betrieb unsichtbar, wird jedoch in Konfigurations-Backups im Klartext exportiert. Angreifer, die Zugriff auf diese Backups erlangen, können die alten Hashes somit weiterhin extrahieren und knacken.

Handlungsempfehlungen: Was Sie jetzt tun müssen

Um Ihre Netzwerkinfrastruktur vor der FortiBleed-Kampagne zu schützen, sollten Sie umgehend die folgenden drei Schritte umsetzen:

1. Passwörter rotieren und MFA erzwingen

• Sofortiger Reset: Setzen Sie die Passwörter aller administrativen Konten sowie aller VPN-Benutzerkonten zurück. Dies gilt besonders für Geräte, deren Administrations-Schnittstellen direkt aus dem Internet erreichbar sind.
• Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie ausnahmslos MFA für alle administrativen Zugänge und VPN-Verbindungen. Selbst wenn Angreifer ein Passwort knacken, verhindert der zweite Faktor den unbefugten Zugriff.

2. Management-Schnittstellen vom Internet trennen

• Die Weboberflächen und SSH-Zugänge zur Verwaltung von Firewalls sollten niemals offen aus dem Internet erreichbar sein.
• Beschränken Sie den administrativen Zugriff auf vertrauenswürdige, interne Netzwerke oder erzwingen Sie den Zugriff über ein dediziertes, abgesichertes Management-VPN.

3. PBKDF2-Verschlüsselung erzwingen und Altlasten bereinigen

• Anmeldung erzwingen: Stellen Sie sicher, dass sich nach einem Upgrade auf FortiOS 7.2.11+, 7.4.8+ oder 7.6.1+ alle Administratoren mindestens einmal am System anmelden, damit die Passwörter auf PBKDF2 umgestellt werden. Alternativ können Sie die Passwörter manuell über ein Super-Admin-Konto neu setzen.
• „old-password“-Hashes löschen: Um die im System verbliebenen SHA-256-Reste vollständig zu eliminieren, aktivieren Sie in den Versionen FortiOS v7.2.x und v7.4.x die Option login-lockout-upon-weaker-encryption in den globalen System-Passwortrichtlinien (system password-policy).

Fazit

Die FortiBleed-Kampagne zeigt eindringlich, dass ein reines Software-Update oft nicht ausreicht, um vererbte Sicherheitsrisiken zu eliminieren. Nur durch die Kombination aus Passwort-Rotation, dem Bereinigen alter Hash-Sicherungen und einer konsequenten Abschottung der Management-Schnittstellen lässt sich die Kompromittierung der eigenen Netzwerkgrenzen effektiv verhindern.